03/07/2018

Tajemnica czarnego kwadratu

Informacje

Cześć!

Zgadniecie, co to jest? Mała podpowiedź: nie jest to zdewastowane dzieło Czarny kwadrat na białym tle autorstwa Kazimierza Malewicza.

Tak mniej więcej wygląda zrzut ekranu wykonany przez podejrzaną aplikację na komputerze chronionym przez produkty Kaspersky Lab, na przykład Kaspersky Total Security. Poniżej znajdziecie szersze wyjaśnienia tego tematu.

Jak wiadomo, cyberprzestępcy intensywnie dążą do uzyskania dostępu do kont użytkowników, dlatego zadaniem naszych produktów jest ochrona przed wykonywaniem zrzutów ekranów. Chociaż powody ku temu są różne (kradzież pieniędzy, szpiegowanie małżonków/konkurencji/wrogów itp.), a atakujący używają rozmaitych sposobów, ich cel jest zawsze tylko jeden: uzyskanie dostępu do czyjegoś konta.

Pewnie zastanawiacie się, dlaczego szkodliwe oprogramowanie chce wykonywać zrzuty ekranu. Ktoś powie: Przecież na różnych stronach i w programach symbole używane w hasłach są zastępowane kropkami.

W rzeczywistości istnieje mnóstwo sposobów, które pozwalają ominąć to zabezpieczenie.

Po pierwsze, często użytkownicy mają możliwość wyświetlenia wpisanego hasła (opcja „Pokaż hasło”). Po drugie, wiele serwisów wyświetla — chociaż przez krótką chwilę — bieżący wprowadzany symbol hasła. Po trzecie, niektóre serwisy zastępują litery w haśle kropkami tylko wtedy, gdy użytkownik przejdzie do wypełniania kolejnego pola.

Po czwarte, niektóre usługi nie używają kropek maskujących wcale, a w zamian zmniejszają rozmiar czcionki — w tym przypadku celem jest utrudnienie odczytania hasła przez osoby będące w pobliżu (niestety nie jest to żadnym problemem dla szkodliwego programu). Po piąte, dzięki wielu sztuczkom i narzędziom (typu pwdcrack) złoczyńcy mogą wyłączyć te kropki. Ogólnie ujmując, prawdopodobieństwo wyświetlenia hasła na ekranie jest dalekie od zera, a szkodliwe oprogramowanie z łatwością wykorzystuje ten fakt.

Nawiasem mówiąc, szanse, że ktoś spoglądający Ci zza ramienia lub jakaś kamera bezpieczeństwa dostrzegą Twoje hasło, są o wiele mniejsze niż ryzyko, że odczyta je szkodliwy program, który potrafi wykonywać zrzuty ekranu.

Prawdopodobnie najbardziej znany trojan bankowy — Zeus — a także wiele jego klonów, zawierają taką opcję w swoim zestawie narzędzi. Na przykład jeden z tych klonów, noszący nazwę KINS, przeprowadził atak, w którym zrzuty ekranu były wykonywane nie tylko podczas wciskania klawiszy klawiatury, ale także podczas klikania myszką. Oznacza to, że podczas wprowadzania hasła lub kodów jednorazowych na stronie bankowej przy użyciu klawiatury wirtualnej szkodliwy program może odgadnąć wprowadzane symbole.

Zresztą problem ten dotyczy nie tylko haseł: zagrożone są również informacje dotyczące kart płatniczych, wprowadzane podczas zakupów w internecie, pytania zabezpieczające służące do weryfikacji lub przywrócenia hasła do zablokowanego konta, informacje osobowe, treści wiadomości i tak dalej.

Tak — jeden niepozorny zrzut ekranu może być dla kogoś przepustką do naszych prywatnych informacji i tajemnic. Wobec tego ochrona tych informacji ma znaczenie kluczowe. Oczywiście w takiej sytuacji pomocne jest korzystanie z takich funkcji jak Bezpieczne pieniądze czy Klawiatura ekranowa, ale nie każdy ich używa — pomijają je nawet ci, którzy uważają się za świadomych w kwestii bezpieczeństwa. A przecież żadna funkcja nie zagwarantuje bezpieczeństwa, gdy ktoś może wykonać zrzut ekranu. Na szczęście my już jesteśmy gotowi i na nich czekamy.

Większość naszych produktów zawiera opatentowaną technologię, która strzeże funkcji interfejsu programistycznego aplikacji, dzięki którym aplikacje mogą wykonywać zrzuty ekranu. Gdy aplikacja chce wykonać zrzut ekranu:

  • nasz produkt rozpoznaje, które aplikacje mają otwarte okna;
  • na podstawie danych z różnych komponentów i podsystemów (na przykład Kontrola systemu czy Bezpieczne pieniądze) produkt określa, czy okna te potencjalnie zawierają poufne lub osobiste dane;
  • produkt analizuje współczynnik zaufania aplikacji, która żąda dostępu do ekranu;
  • produkt podejmuje decyzję, czy zezwala na wykonanie zrzutu ekranu. Jeśli nie, zrzut ten zostanie zrobiony, ale jego rezultatem będzie czarny ekran.

A teraz coś ekstra!

Ta sama technologia, która chroni przed szkodliwymi zrzutami, pomaga również wykryć wcześniej nieznane cyberataki. Aplikacje, które w podejrzany sposób interesują się innymi „oknami”, otrzymują niższą ocenę, co sprawia, że częściej są one wykrywane w sposób proaktywny przez technologię uczenia maszynowego wykorzystywaną przez system KSN — lub wykrywane ręcznie przez eksperta. W ten sposób wszyscy przyczyniamy się do obniżania ogólnego poziomu zagrożeń w internecie — i każdy z nas na tym korzysta.